Dijous, al BlackHat Europe 2017 conferència de seguretat a Londres, dos investigadors de seguretat de l'empresa de ciberseguretat 'enSilo' han demostrat una nova tècnica d'atac d'injecció de codi anomenada "Doppelganging de processos" on es diu que totes les versions de Windows són vulnerables.
Segons els investigadors, el mètode d'atac es pot utilitzar per evitar fins i tot el programari AV modern actualitzat i executar codis maliciosos que ja són coneguts per les empreses de seguretat.
Process Doppelganging és una mica similar a Process Hollowing, una tècnica que van utilitzar els atacants fa uns anys per creuar les capacitats de mitigació dels productes de seguretat, però que ara detecten la majoria dels principals productes de seguretat actuals. Però, el procés Doppelgänging és més avançat i evasiu. És molt més difícil de detectar, i molt menys prevenir.
A diferència de Process Hollowing, Process Doppelgänging utilitza el mecanisme de Windows de les transaccions NTFS per fer canvis a un fitxer executable. Els canvis realitzats mai s’escriuen al disc, de manera que s’assembla a un atac sense fitxers, que no pot ser rastrejat per cap escàner de seguretat i eines forenses avançades. L'executable modificat es carrega després mitjançant el mecanisme de càrrega del procés de Windows.
“Doppelgänging funciona mitjançant la utilització de dues funcions distintives clau junts per emmascarar la càrrega d’un executable modificat. Mitjançant l'ús de transaccions NTFS, fem canvis a un fitxer executable que mai no es comprometrà al disc. A continuació, utilitzarem els detalls d’implementació no documentats del mecanisme de càrrega del procés per carregar el nostre executable modificat, però no abans de recuperar els canvis que vam fer a l’executable. El resultat d'aquest procediment és crear un procés a partir de l'executable modificat, mentre que els mecanismes de seguretat es desplegaven a les fosques ", diu un enSilo entrada de bloc.
Les tècniques d’evasió solen dependre de la manipulació de la memòria, però aquí els investigadors utilitzen el carregador de Windows i n’abusen per carregar el seu codi per eludir els escàners de seguretat. Els investigadors no van explicar com ho van fer.
A qui afecta això?
Potencialment, totes les versions de Sistema operatiu Windows, des del Windows Vista fins a la darrera versió de Windows 10, i molts programes AV principals es veuen afectats.
Segons els investigadors, no hi ha manera que es pugui emetre un pedaç ja que l'atac aprofita diverses característiques fonamentals i el procés bàsic del mecanisme de càrrega de les finestres. Tanmateix, també és difícil per als atacants implementar el Doppelgänging, ja que requereix una comprensió profunda dels binaris i de les creacions de processos que els investigadors no documenten. Però és una sensació d’alleujament!
Podeu obtenir una còpia completa del material de recerca sobre Doppelgänging de processos a lloc web enSilo on també podeu registrar-vos a un seminari web gratuït que analitzarà l’atac i com defensar-lo.
